סוכנות הגנת הסייבר והתשתיות של ארה"ב (CISA) פרסמה הנחיה דחופה לסוכנויות הממשל הפדרליות, המורה להן לאבטח את המערכות שלהן מפני פרצת אבטחה חמורה ב-MongoDB.
הפרצה, שזכתה לכינוי "MongoBleed", נמצאת תחת ניצול פעיל בשטח על ידי תוקפים ומאיימת על עשרות אלפי שרתים ברחבי העולם.
מהי פרצת ה-MongoBleed ואיך היא עובדת?
הפגיעות, שמסומנת כ-CVE-2025-14847, התגלתה וקיבלה תיקון רשמי ב-19 בדצמבר 2025. מקורה של הבעיה הוא באופן שבו שרת ה-MongoDB מעבד חבילות רשת המשתמשות בספריית zlib לצורך דחיסת נתונים.
ניצול מוצלח של הפרצה מאפשר לשחקני איום (Threat Actors) מרוחקים, ללא צורך באימות (Unauthenticated), לגנוב אישורי גישה ומידע רגיש אחר. המידע החשוף כולל מפתחות API, מפתחות ענן, אסימוני גישה (Tokens), לוגים פנימיים ומידע המזוהה אישית (PII). כל זאת מתבצע באמצעות מתקפות בדרגת מורכבות נמוכה שאינן דורשות אינטראקציה מצד המשתמש.
עשרות אלפי שרתים חשופים ברחבי העולם
חוקר האבטחה ג'ו דסימון מ-Elastic פרסם קוד הוכחת יכולת (PoC) המדגים כיצד ניתן להדליף נתונים רגישים מהזיכרון של מארחים (Hosts) שאינם מעודכנים.
הנתונים מהשטח מדאיגים:
- ארגון Shadowserver זיהה למעלה מ-74,000 מופעי MongoDB החשופים לאינטרנט ועלולים להיות פגיעים.
- חברת Censys עוקבת אחרי למעלה מ-87,000 כתובות IP המריצות גרסאות לא מעודכנות של מסד הנתונים.
- פלטפורמת אבטחת הענן Wiz דיווחה כי כ-42% מהמערכות הנראות לעין בענן מריצות לפחות מופע אחד של MongoDB בגרסה הפגיעה.
הוראת ה-CISA: דד-ליין צפוף לעדכון
בעקבות הדיווחים על ניצול פעיל, ה-CISA הוסיפה את MongoBleed לרשימת הפרצות המנוצלות (KEV Catalog) והורתה לסוכנויות הממשל האזרחיות (FCEB) להטמיע את התיקונים עד ה-19 בינואר 2026.
הסוכנות הזהירה כי פרצות מסוג זה מהוות וקטור תקיפה נפוץ עבור גורמי סייבר עוינים ומציבות סיכון משמעותי לתשתיות הפדרליות. ההנחיה היא ליישם את התיקונים לפי הוראות היצרן או להפסיק את השימוש במוצר אם אין פתרון זמין.
מה עליכם לעשות אם אתם משתמשים ב-MongoDB?
עבור מנהלי רשתות ואנשי אבטחה שאינם יכולים ליישם את עדכון האבטחה באופן מיידי, ההמלצה הקריטית היא לבטל את דחיסת ה-zlib בשרת. פעולה זו מנטרלת את וקטור התקיפה המרכזי של MongoBleed.
בנוסף, פורסם כלי זיהוי (MongoBleed Detector) המנתח את לוגי השרת ומזהה ניסיונות ניצול פוטנציאליים, מה שמאפשר לארגונים להבין האם כבר בוצעו ניסיונות תקיפה נגדם.
MongoDB נחשבת לאחת ממערכות ניהול מסדי הנתונים הפופולריות בעולם, עם מעל ל-62,500 ארגונים משתמשים, ביניהם עשרות מחברות ה-Fortune 500, מה שהופך את הפרצה הזו לאיום רחב היקף על המגזר העסקי והציבורי כאחד.
